Door Marcel van Duijn – Op 18 november hield de Vereniging Beveiligingsprofessionals Nederland (VBN) in een bomvolle zaal van de Rijtuigenloods te Amersfoort haar geslaagde VBN Summit 2021. Na een welkomstwoord door dagvoorzitter Meindert Schut, opende prins Pieter-Christiaan van Oranje-Nassau, voorzitter van VBN de dag die vooral in het teken stond van kennis delen.
De rode draad van het programma voor vakbekwame security professionals was verleden, heden en toekomst. Wat hebben we geleerd? Waar hebben we nu mee te maken? Wat zal de toekomst ons brengen als het gaat om veiligheid? Pieter-Christiaan: “Stilstand in onze branche is achteruitgang. We moeten innoveren en kijk daarbij vooral naar jongeren. Hoe kunnen we die voor ons vak enthousiasmeren?”
Opening Security Summit 2021 door prins Pieter-Christiaan van Oranje-Nassau (rechts), voorzitter van de Vereniging Beveiligingsprofessionals Nederland (VBN) en dagvoorzitter Meindert Schut, freelance journalist, presentator en ondernemer.
Gert van Beek, gepensioneerd chef van het bureau Zware Criminaliteit trapte het lezingenprogramma af met zijn case in sessies over de ontvoering van Freddy Heineken. Hij beschreef de drie spannende weken van de Heineken ontvoering in 1983. Hij maakte de strategie inzichtelijk voor welke complexe opdracht de politie stond. De 1e prioriteit was het levend terug krijgen van Freddy Heineken en zijn chauffeur Ab Doderer. Na weken met versleutelde berichten en (telefonische) aanwijzingen van de ontvoerders en antwoorden van de politie in onder meer de Telegraaf en het Parool kwamen na het betalen van losgeld beiden vrij.
Opsporingsmiddelen
Op 28 november 1983 werd 35 miljoen gulden losgeld betaald. Na een anonieme tip werden Heineken en Doderer uiteindelijk gevonden in de romneyloods van Jan Boellaard in Amsterdam, waar de ontvoerders een dubbele achterwand met een verscholen deur in hadden gebouwd. Alle ontvoerders gingen op de vlucht, maar werden gepakt. Volgens Van Beek worden mensen in Nederland niet meer ontvoerd voor geld. “Het begrip ontvoering bestaat inmiddels niet meer in het Wettelijk Rechtboek. Dit is aangepast in afpersen en bedreiging. Het is complex om iemand te ontvoeren, je moet de persoon in leven houden en goed zien te verbergen. Er zijn inmiddels betere methoden om snel aan geld te komen, denk aan cybercriminaliteit en cryptomunten. Wat hebben we nu hiervan geleerd?
We zijn namelijk in oorlog met de hackers
“Als je nu toch bedreigd wordt, vertoon dan geen routinematig gedrag. Denk aan Peter R. de Vries die dat wel deed en bovendien niet beschermd wilde worden. Ten tijde van de ontvoering van Heineken en Doderer was er nog geen dna methode voorhanden. We zijn ingehaald door innovaties in onze branche die veel effectiever zijn en sneller tot resultaat leiden. Zo kregen we tegen het einde van de ontvoering pas voor het eerst te maken met pc’s en een peperdure infra-rode camera (via Britse geheime inlichtingendienst MI6) die onder een helikopter kon worden bevestigd. Niet onbelangrijk: zorg voor complete geheimhouding. En blijf bij de tijd en op de hoogte van innovatieve (digitale) opsporingsmiddelen.”
De 2e spreker Jaya Baloo, Chief Information Security Officer (CISO) van Avast benadrukte in haar lezing hoe belangrijk het is om ons digitale leven te beveiligen en mee te gaan met huidige ontwikkelingen als quantum computers die alle info terugbrengen naar een paar seconden verwerkingstijd. Baloo: “China loopt voorop en werkt al jaren met ‘quantum communications satellite’. Bouw bestaande algoritmen om zodat ze niet te hacken zijn. We zijn namelijk in oorlog met de hackers. Hebben we ons basisnetwerk zowel op het bedrijf als thuis wel op orde? Je kunt onderscheid maken in soorten hackers: hackers voor de fun en profit; hackers met een ideologisch gedachtengoed (meest lastig te traceren) en hackers met politieke doeleinden. Wij zijn slecht om onze kwetsbaarheden op te lossen. Alles is momenteel digitaal met elkaar verbonden (smart/bluetooth): de robot grasmaaier, stofzuiger, wasmachine, smart tv en de smart phone. Het gaat hackers om klanten van securitybedrijven. Het zijn zogeheten ‘supply chain attacks’.
Het is de achilleshiel van deze tijd en daar doen we met zijn allen te weinig aan.” Baloo sloot haar lezing af met enkele tips: verzekeraars betaal in ieder geval niet het gevraagde ‘losgeld’; reserveer 10 procent van het digitale budget voor security (risk awareness); Stel een apart nummer in voor cybercrime (In Israël is er een 112 nummer voor cybersecurity!); Zorg voor updates en upgrades; maak lange wachtwoorden (size matters); gebruik een anti-virus (Cough/ clear throat); Maak backups on- en offline; gebruik een VPN, gebruik Encryption & Secure Apps ie-Signal en weet wanneer (vooral niet) moet klikken!”
Artificial Intelligence
Carlo van de Weijer, directeur van het nieuw opgezette Eindhoven Artificial Intelligence Systems Institute EAISI en General Manager Eindhoven AI Systems Institute at Technische Universiteit Eindhoven behandelde de laatste ontwikkelingen van Artificial Intelligence (AI) binnen de mobiliteit en de zorg en wat de uitdagingen op het gebied van security zijn. Wat zijn de voordelen, maar ook wat zijn de gevaren? Van de Weijer: “De ongecontroleerde realiteit presteert vaak beter. Dat komt omdat mensen buiten de ‘lijntjes’ beter presteren.” Om dit te illustreren toonde Van de Weijer beelden van de kruising hoek Korte Prinsengracht/ Haarlemmerstraat in Amsterdam: een wirwar van verkeer. Maar de voetgangers, fietsers, auto’s vinden hun weg uitstekend, soms door eigen regels toe te passen. “Maar dit gaat zeker niet op bij Artificial Intelligence (A.I.). Deze techniek is nog niet intelligent genoeg om alles correct te herkennen. De (camera) techniek kan niet in alle gevallen goed onderscheid maken tussen bijvoorbeeld een chiwawa en een muffin, een labradoedel of fried chicken. Hoe moet je iets instrueren als we het zelf niet begrijpen.
De groei van machine-intelligentie gaat door…
Denk ook aan omgekeerde causaliteit. Wij kunnen de afweging maken om de brandweer niet te bellen bij een brand van de buren (want anders zou jouw huis waterschade oplopen). We leven in een exploderende hoeveelheid data en daar moeten we kritisch mee omgaan. De eenrichtingsweg naar kunstmatige Super Intelligentie in het kort: de groei van machine-intelligentie gaat door…; … en stopt niet op het niveau van menselijke intelligentie; AI heeft behoefte aan security. AI moet ethisch, legaal en robuust blijven vanuit zowel een technische en sociale point of view. Essentiele AI problemen zijn: nog niet intelligent genoeg en consequente overschatting; foute of onlogische informatie; omgekeerde of onjuiste causaliteit. AI is randvoorwaardelijk voor security. Denk aan: winst in tijd, geld, kwaliteit en informatie; tijd: machines zijn vele malen sneller bij repeterend werk; geld: vermindert dure (en minst aantrekkelijke) arbeid; kwaliteit: verbetert de controle processen; informatie: verbetert de transparantie binnen exploderende hoeveelheid data…en zorg dat je bij de data kan die over jouw essentiële processen gaan! The real danger is not that computers will begin tot think like humans, but that humans will begin tot think like computers”, quote van Sydney J. Harris, Amerikaans journalist.
Rock in your shoe
Rinske Geerling, directeur Business As Usual, Australië had het in haar lezing vooral over de ‘rock in your shoe’, de rol van beveiligingsprofessionals in de bredere business strategie en hoe zij met meer gemak, zelfverzekerdheid en resultaat op het hoogste niveau efficiënter mee kunnen praten. “Security is een valkuil maar ook een ‘opportunity’ aan het worden. Zoek als securityprofessional naar je grootste struikelblok en zorg voor een effectieve beveiliging. Maak cybersecurity een zaak van de directie van het bedrijf. Welke taal spreekt het top management en wat is hun rock in the shoe? Maak gebruik van sterkte, zwakte, kansen en dreigingen als strategische business tool (SWOT-analyse). Op basis van recente gevallen weten we dat als een security incident niet binnen 2 uur onder controle is, dit een verlies van 10-20 procent marktaandeel kost. ‘Elk nadeel heb z’n voordeel…’, aldus Geerling. “In het kort: plaats jezelf in de schoenen van het top management; begrijp daadwerkelijk de business (inclusief corporate strategy, annual report, corporate website et cetera); vermijd Security ‘lingo’/ acronymen; vind een of meer individuele security ‘champions’op topniveau; vermijd ‘Fear, Uncertainty en Doubt (FUD) – neem de minder voor de hand liggende weg en win daarmee respect; denk aan een korte maar krachtige presentatie/ rapportage: feitelijke informatie, risico’s, aanbevelingen, gerelateerde kosten en value-adds; geef het topmanagement minder om te onthouden, maar meer redenen hiertoe; benchmarketing: hoe verhoudt jullie investering in Security zich tot wat andere organisaties (inclusief concurrenten) doen?
Colonial Pipeline
Erik de Jong, security professional werkzaam voor Fox-IT ging tot slot vooral in op het verleden, heden en toekomst van ransomware en de vraag wat de dynamiek is tussen aanval en verdediging in de it-wereld. Hoe heeft die dynamiek zich ontwikkeld en wat kunnen we in de toekomst nog verwachten. Is ons verdienmodel dan wel toekomst vast en wat moet er veranderen om een balans te vinden? Wees alert: cybercriminelen zoeken ook naar de leveranciers van essentiële diensten. De Jong ging terug in de tijd en noemde de negatieve rol van Rusland, China en Noord Korea in cyberaanvallen, de generieke malware Zeus en SpyEye van Hamza Bendelladj die in 2013 is gearresteerd en de inzet van nep antivirussen voor schoonmaak van pc’s (werden voorgesteld alsof je computer besmet is) en injecterende laptops die een heel netwerk konden besmetten. Bij de grote cyberaanval op Colonial Pipeline dit jaar werden letterlijk de pijplijnen dichtgezet waardoor er op veel plaatsen in de vs geen brandstof meer voorhanden was. De Colonial Pipeline is het grootste pijpleidingsysteem voor geraffineerde olieproducten in de VS. De pijpleiding – bestaande uit twee buizen – is 5.500 mijl lang en kan 3 miljoen vaten brandstof per dag vervoeren tussen Texas en New York. ”Het dichtdraaien van de brandstof was een goede zet van het concern en slim, want bij zo’n actie wordt het een zaak van nationale veiligheid. En dan helpt de overheid je en krijg je iedereen met je mee om het op te lossen. De aanval op Colonial Pipeline is een goed voorbeeld van een waarschuwing. Autoriteiten in de VS verdenken DarkSide ervan Colonial Pipeline te hebben aangevallen met gijzelsoftware. Daarbij werden documenten van het bedrijf versleuteld en pas weer vrijgegeven na betaling van losgeld. DarkSide publiceert net zoals andere hackersgroepen geregeld gestolen documenten op het dark web, een moeilijk toegankelijk deel van internet waar gebruikers anoniem opereren. Dit om de getroffen bedrijven onder druk te zetten met geld over de brug te komen. Maar de site van DarkSide werkt nu niet meer. Tips: de markt is groot genoeg voor virale innovatie: zorg dat je de beveiliging op orde hebt en besteedt een budget aan damagecontrol. Cybercriminaliteit is een groot risico. Maar risico’s bieden ook kansen. Kortom, denk als een crimineel en fight the good fight”, aldus De Jong.
Break-out sessie
De Break-out sessie werd verzorgd door Dick Bouwhuis van Newsecure, Bouwhuis over de inzet van drones voor security. “Door drones te gebruiken leveren de meeste van deze operaties betere resultaten op. Ook worden de resultaten met drones sneller gerealiseerd. Tot slot kunnen verschillende security operaties met drones ook veel veiliger worden uitgevoerd.”
In het slotwoord bedankte Pieter Christiaan de VBN voor de interessante samenstelling van het programma. Hij benadrukte nog dat de securitybranche en de opsporingsdiensten goed opgeleide mensen kunnen gebruiken (onder meer via pps). Denk in dit verband bijvoorbeeld aan de controles op en om onze nationale luchthaven Schiphol: “Alles (digitaal) afdichten met poortjes is niet genoeg. Juist de menselijke factor brengt zaken aan het licht die niet deugen. Slimme en deskundige mensen hebben en krijgen daar een gevoel voor.”
Hoofdsponsor van de Security Summit 2021 was de SeSa Groep. Subsponsors van de Summit waren Explicate, Beveiligingnieuws.nl, Securitas en Security Management.
In het artikel over de Security Summit staat dat Henk Neddermeier en Marcel Spit presentaties hebben verzorgd. Beide heren waren echter niet aanwezig! Ook vraag ik me af of er überhaupt een presentatie is gegeven over cepted en securitymanagement systemen. Dat zal ik nog navragen. Het artikel kan zo dus niet weg.
Foto’s: Thessa de Bree, SOBA
Tekst: Marcel van Duijn
Volg Security Management op LinkedIn